Settimana 50: Al posto di un nuovo lavoro si riceve un malware

19.12.2023 - Gli annunci di lavoro fraudolenti sono molto comuni e, nella maggior parte dei casi, mirano a scucire denaro alla vittima con un pretesto. Una segnalazione si è distinta in modo particolare perché i truffatori non hanno seguito il solito schema, ma hanno tentato di installare un malware durante un colloquio di presentazione per impossessarsi del wallet di criptovalute della vittima.

L’annuncio di lavoro

Su una nota piattaforma d’impiego una persona trova un’offerta di lavoro interessante. Si tratta di un impiego nel settore degli investimenti in criptovalute. Apparentemente l’annuncio è stato pubblicato da un’azienda con sede in Svizzera che opera in quest’ambito. La persona interessata decide di inviare la propria candidatura e il CV.

Il processo di candidatura

Il candidato viene contattato via e-mail e gli viene comunicato che la sua domanda è stata accolta favorevolmente. Viene invitato a inserire altri dati sulla sua persona in un modulo online e informato del fatto che la prossima fase consisterà in un colloquio in videoconferenza.

Come richiesto, il candidato compila il modulo con alcuni dati personali. Rimane tuttavia un po’ sconcertato perché gli viene chiesto di indicare un wallet di criptovalute per potergli presumibilmente versare eventuali partecipazioni agli utili.

Modulo di Google per i dati personali
Modulo di Google per i dati personali
Parte del modulo con le indicazioni relative al wallet di criptovalute
Parte del modulo con le indicazioni relative al wallet di criptovalute

Dopo aver compilato il modulo, il candidato si occupa della videoconferenza, accedendo al sito Internet trasmessogli e tentando di scaricare lo strumento video. Già il browser lo mette in guarda da un malware. A una domanda posta via e-mail, la presunta azienda conferma che lo strumento va bene e che, per motivi di confidenzialità, il colloquio può essere condotto unicamente mediante tale strumento. Pertanto il candidato ignora l’avviso del browser. Tuttavia, successivamente, anche lo scanner antivirus del computer segnala il malware alla vittima. A questo punto al candidato vengono dei dubbi, inizia a sospettare un tentativo di truffa e contatta quindi l’NCSC.

Il tentativo di truffa

Dall’analisi dell’NCSC si evince che si tratta di un elaborato tentativo di truffa che ha inizio già al momento dell’annuncio, pubblicato unicamente per ingannare potenziali candidati.

Per contattare i candidati via e-mail è stato dapprima creato un proprio dominio, molto simile a quello dell’azienda imitata, in modo da non insospettire le vittime.

Lo stesso giorno è stato registrato anche un altro dominio tramite il quale si deve scaricare lo strumento per la videoconferenza.
Tale strumento consente di partecipare a una vera e propria videoconferenza, ma purtroppo contiene anche un cosiddetto «keylogger», un malware che registra i dati immessi con la tastiera dal candidato.

Estratto del sito Internet per la videoconferenza
Estratto del sito Internet per la videoconferenza

Se il candidato non si fosse insospettito, la truffa si sarebbe svolta nel seguente modo:

  • il candidato apre lo strumento per la videoconferenza per partecipare al colloquio di presentazione;
  • i truffatori hanno già ricevuto l’ID del wallet tramite il modulo online, ma necessitano ancora della password per accedere al contenuto;
  • con un pretesto, durante la videoconferenza chiedono al candidato di entrare brevemente nel wallet, ad esempio per controllare l’attuale saldo del conto;
  • il candidato esegue l’operazione e inserisce la password. Il keylogger copia i dati e li invia subito agli aggressori;
  • i truffatori si impossessano così del wallet e possono trasferire la criptovaluta sui propri conti.

Raccomandazioni dell’NCSC

Per proteggersi da queste truffe, l’NCSC raccomanda quanto segue.

  • Quando venite contattati verificate che il linguaggio e lo stile dei messaggi siano appropriati.
  • In caso di incongruenze o di sospetti da parte vostra, chiarite se l’azienda da cui parrebbe provenire l’annuncio abbia effettivamente dei posti vacanti da occupare. Se del caso, chiedete informazioni al riguardo, ad esempio per telefono, utilizzando il numero indicato sul sito Internet.
  • Se il vostro scanner antivirus si attiva o ricevete un avviso del browser, interrompete immediatamente qualsiasi operazione. In questo ambito i rilevamenti errati sono molto rari.
  • Non divulgate i vostri dati troppo presto. Ad esempio, i dati relativi al conto su cui verrà versato lo stipendio sono rilevanti soltanto dopo l’assunzione.

Numeri e statistiche attuali

Segnalazioni della scorsa settimana per categoria:

Numeri attuali

Ultima modifica 19.12.2023

Inizio pagina

https://www.ncsc.admin.ch/content/ncsc/it/home/aktuell/im-fokus/2023/wochenrueckblick_50.html